专利名称:一种无线局域网移动终端接入认证方法
技术领域:
本发明属于WLAN(无线局域网)技术,涉及WLAN中移动终端的接入认证机制。
背景技术:
随着Internet应用的迅猛发展,以及便携机、PDA(Personal Data Assistant)等移动智能终端的使用的日益增长,无线局域网也在迅猛发展,并成为新一代高速无线接入网络。目前,无线局域网络广泛应用于医院、学校、金融服务、制造业、服务业、公司应用、公共访问等领域。但是无线局域网由于传输媒介的开放性,使得未授权用户可以轻易地接入无线局域网对数据进行侦听、篡改和伪造,严重阻碍了它的推广与应用。
无线局域网存在的安全问题涉及两个方面移动终端的安全接入与数据保密。移动终端的安全接入可以通过在STA(移动终端)与AP(访问接入设备)之间的相互认证来实现。在无线局域网标准IEEE 802.11中,规定了两种认证机制开放系统认证和共享密钥认证。开放系统认证允许任何终端接入到无线网络中,从这种意义上讲,它并没有保证移动终端接入的安全性。而共享密钥认证需要STA与AP预先设置相同的共享密钥,这显然不适于流动性很大的用户。针对无线局域网中存在的安全问题,我国宽带无线IP工作组于2003年5月发布了WLAN国家标准GB15629.11。在WLAN国标第8章中提出了WLAN安全机制——WAPI(无线局域网鉴别和保密基础结构)。
WAPI主要包括无线局域网鉴别基础结构(WAI)和无线局域网保密基础结构(WPI)两部分内容。其中WAI机制通过椭圆曲线密码证书实现移动终端和无线网络之间的双向认证,并采用公钥加密的两条消息来实现会话密钥协商。但是在WAPI中存在以下问题1.STA接入鉴别请求中仅含有STA自身的证书,这对于一个集中式颁发证书的机构是可行的,但是对于一个进行分布式证书颁发的机构,则无法通过它来确定STA证书与其颁证机构的归属关系,也就无法验证证书。
2.STA在异地接入,对接入鉴别响应中ASU(认证服务单元)的签名进行验证时,需要预先获取ASU证书,这对于在较大区域内频繁移动的用户是不实际的。这些问题的存在,使得WAPI很难完成对异地STA的接入认证。
发明内容
为了解决WAI认证过程中的不足之处,本发明提出了一种无线局域网移动终端的接入认证方法,以一种简单有效的方法解决了STA的接入认证问题。
无线局域网移动终端的安全接入认证方法有两种情况本地接入认证和异地接入认证,它们都可通过本发明中提供的方法进行认证,其过程如下1.鉴别激活当STA关联或重关联到AP时,由AP向STA发送鉴别激活消息以启动鉴别过程;2.接入鉴别请求STA向AP发出接入鉴别请求,将STA证书链、STA的当前系统时间发往AP,其中系统时间称为接入鉴别请求时间;3.证书鉴别请求AP接收到STA接入鉴别请求后,首先记录接入鉴别请求时间,然后将STA证书链、AP证书链和STA接入鉴别请求时间以及AP的私钥对STA证书链、AP证书链和STA接入鉴别请求时间的签名构成证书鉴别请求发送到本地认证服务器AS;4.AS收到AP的证书鉴别请求后进行证书鉴别响应;5.接入鉴别响应AP从AS返回的证书鉴别响应中得到STA证书链的鉴别结果,根据此结果对STA进行接入控制。
所述步骤4)中证书鉴别响应具体包括以下过程a>验证步骤3)中的证书鉴别请求中AP的签名、AP证书链和STA证书链的有效性;b>验证完毕后,AS将STA证书链的鉴别结果、AP证书链的鉴别结果和AS证书链以及AS对STA证书链鉴别结果、AP证书链鉴别结果、AS证书链的签名发回给AP;所述步骤5)具体包括以下处理过程c>AP将接收到的证书鉴别响应作为接入鉴别响应发送至STA;d>STA接收到接入鉴别响应后验证接入鉴别响应中AS证书链和AS签名的有效性;e>如果步骤a>验证正确,STA根据AP证书链的鉴别结果决定是否接入该AP。
本发明与现有技术相比有如下优点在WAI过程中,移动终端、AP和ASU在认证消息中传送的不只是证书而是证书链,只要STA和AS预先安装根CA(证书认证中心)证书就可以对证书链进行验证,这样不仅可以实现同一个系统内部的用户在其系统内的漫游,也可以实现不同系统用户之间的漫游。对不同系统的漫游用户进行认证,实际上就是认证不同系统颁发的证书,在对不同系统的证书进行认证时,可以采用基于WEB的信任模式,在STA或AS中预先安装信任的各系统根CA的证书即可。在各认证消息中证书链以用户证书到根CA证书的层次结构顺序排列。
图1为本发明基于的证书管理体系结构图;图2为无线局域网移动终端接入认证流程图。
具体实施例方式
在WAPI标准中,ASU同时具有证书认证中心和WAPI认证服务器的功能。可以考虑将ASU分为两个不同的实体CA和AS,由CA来负责证书的管理,AS负责认证STA和AP的身份。如图1所示,WAPI中的证书管理就可以采用当前PKI(公钥基础设施)中的体系结构,将CA分为根CA、一级CA、二级CA等多级CA,它们分别对应现实应用环境中的各级管理机构,每级CA负责管理下级CA证书和本级机构用户(AS、AP和STA)证书,每级机构的用户除了持有本地CA颁发给自己的WAPI证书外,还持有一个由用户证书到根CA证书的证书链。所谓证书链就是用户证书到根CA证书的一个顺序排列。例如一个STA的证书STACert由二级CA颁发(该二级CA的证书为CA2),二级CA的证书由一级CA颁发(该一级CA的证书为CA1),一级CA证书由根CA颁发(根CA的证书为CA0),那么STA所持有证书链就是<STACert CA2 CA1CA0>。
下面以一个实例结合附图2对本发明作进一步详述,该实例中STA持有的证书是STACert,证书链是<STACert CA2 CA1 CA0>,AP持有的证书是APCert,证书链是<APCert CA3 CA1 CA0>,AS持有的证书是ASCert,证书链是<ASCert CA3 CA1 CA0>,各设备都预先安装了根CA的证书CA0,当该STA在AP接入WLAN时,认证过程如下1.鉴别激活。当STA关联或重关联到AP时,由AP向STA发送鉴别激活消息以启动鉴别过程。
2.接入鉴别请求。STA向AP发出接入鉴别请求,即将STA证书链<STACert CA2CA1 CA0>、移动终端的当前系统时间发往AP,其中系统时间称为接入鉴别请求时间。
3.证书鉴别请求。AP接收到STA的接入鉴别请求后,首先记录鉴别请求时间,然后将STA证书链、AP证书链<APCert CA3 CA1 CA0>、STA接入鉴别请求时间以及AP的私钥对它们(STA证书链、AP证书链、STA接入鉴别请求时间)的签名构成证书鉴别请求发送到本地AS。
4.证书鉴别响应。证书鉴别响应。AS收到AP的证书鉴别请求后进行如下处理1>验证证书鉴别请求中AP的签名、AP证书链和STA证书链的有效性2>验证完毕后,AS将STA证书链鉴别结果、AP证书链鉴别结果和AS证书链<ASCert CA3 CA1 CA0>以及AS对它们(STA证书链鉴别结果、AP证书链鉴别结果、AS证书链)的签名发回给AP。
5.接入鉴别响应。AP从AS返回的证书鉴别响应中得到STA证书链的鉴别结果,根据此结果对STA进行接入控制。AP将接收到的证书鉴别响应作为接入鉴别响应发送至STA。STA接收到接入鉴别响应后进行如下处理1>验证证书鉴别响应中AS证书链和AS签名的有效性,如果验证正确则继续下一步2>根据AP证书链鉴别结果决定是否接入该AP。
权利要求
1.一种无线局域网移动终端接入认证方法,其特征在于,所述方法包括以下处理步骤1)鉴别激活当STA关联或重关联到AP时,由AP向STA发送鉴别激活消息以启动鉴别过程;2)接入鉴别请求STA向AP发出接入鉴别请求,将STA证书链、STA的当前系统时间发往AP,其中系统时间称为接入鉴别请求时间;3)证书鉴别请求AP接收到STA接入鉴别请求后,首先记录接入鉴别请求时间,然后将STA证书链、AP证书链和STA接入鉴别请求时间以及AP的私钥对STA证书链、AP证书链和STA接入鉴别请求时间的签名构成证书鉴别请求发送到本地认证服务器AS;4)AS收到AP的证书鉴别请求后进行证书鉴别响应;5)接入鉴别响应AP从AS返回的证书鉴别响应中得到STA证书链的鉴别结果,根据此结果对STA进行接入控制。
2.根据权利要求1所述的无线局域网移动终端接入认证方法,其特征在于,所述步骤4)中证书鉴别响应具体包括以下过程a>验证步骤3)中的证书鉴别请求中AP的签名、AP证书链和STA证书链的有效性;b>验证完毕后,AS将STA证书链的鉴别结果、AP证书链的鉴别结果和AS证书链以及AS对STA证书链鉴别结果、AP证书链鉴别结果、AS证书链的签名发回给AP;
3.根据权利要求1或2所述的无线局域网移动终端接入认证方法,其特征在于,所述步骤5)具体包括以下处理过程c>AP将接收到的证书鉴别响应作为接入鉴别响应发送至STA;d>STA接收到接入鉴别响应后验证接入鉴别响应中AS证书链和AS签名的有效性;e>如果步骤a>验证正确,STA根据AP证书链的鉴别结果决定是否接入该AP。
全文摘要
本发明公开了一种无线局域网移动终端接入认证方法,包括以下处理过程鉴别激活;接入鉴别请求;证书鉴别请求;AS收到AP的证书鉴别请求后进行证书鉴别响应;接入鉴别响应,AP从AS返回的证书鉴别响应中得到STA证书链的鉴别结果,根据此结果对STA进行接入控制。采用本发明所述的方法在WAI过程中,由于移动终端、AP和ASU在认证消息中传送的不只是证书而是证书链,只要STA和AS预先安装根CA证书就可以对证书链进行验证,这样不仅可以实现同一个系统内部的用户在其系统内的漫游,也可以实现不同系统用户之间的漫游。
文档编号G06F9/32GK1564127SQ200410029789
公开日2005年1月12日 申请日期2004年3月26日 优先权日2004年3月26日
发明者田峰, 彭志威 申请人:中兴通讯股份有限公司